Diverses Lösungsmöglichkeiten in Unternehmen

Unternehmens-Netzwerke sollten nicht an jeder Stelle mit derselben Standardsoftware ausgestattet sein: also keine "Monokulturen", in der jeder einzelne Server und jeder PC von einem Virus befallen werden könnte. Dort, wo dennoch bekanntermaßen anfällige Software genutzt wird (z.B. für E-Mail), sollten die bestehenden Sicherheitslücken geschlossen werden. Zu diesem Zweck bieten die Hersteller kostenlose Zusatzsoftware (Patches) an.

Einsatz verbraucher- bzw. datenschutzfreundlicher Technologien

Der Erfolg von E-Commerce-Unternehmungen steht und fällt mit der Gewährleistung von Daten- und Verbraucherschutz. Daher sollten Internet-Händler ihre Internet-Angebote so gestalten, dass diese auf der einen Seite möglichst wenig Risiken für die Benutzer beinhalten, auf der anderen Seite einfach zu bedienen sind. Dazu sollten die folgenden Empfehlungen berücksichtigt werden:

Anzeige
  • Es sollten keine unnötigen Cookies verwendet werden: Dateien also, die vom Internet-Browser automatisch angelegt werden und die einem WWW-Server zur Wiedererkennung eines Online-Besuchers dienen. Wenn dies aber trotzdem geschieht, sollte die Kunden über den Inhalt und den Zweck der Cookies aufgeklärt werden.
  • Es sollten möglichst keine aktiven Inhalte auf Unternehmens-Seiten enthalten sein (z.B. Formulare oder Bilder in Java, JavaScript, ActiveX). Grund: Aktive Inhalte können auf verschiedene Weise Software enthalten, die Schäden verursachen oder Daten auf Kundenrechnern ausspionieren kann und Kunden „vergraulen“.
  • Jeder seriöse E-Commerce-Anbieter sollte für die Übermittlung aller personenbezogenen Daten die Möglichkeit anbieten, diese zu verschlüsseln. Hierzu wird häufig SSL (Secure Socket Layer) eingesetzt. SSL hat den Vorteil, dass es in jedem Standard-Browser integriert ist und die Kunden keine weitere Software installieren müssen.
  • SSL bietet aber keine Rundum-Sicherheit und sollte nicht überbewertet werden: So können die Kommunikationspartner zwar davon ausgehen, dass die empfangenen Informationen unverändert bleiben. Aber nicht davon, dass sie auch tatsächlich vom dem Absender stammen, dessen Name zu lesen ist. Oder ob sie inhaltlich korrekt sind. Beispielsweise kann ein Händler nicht sicher sein, ob die übermittelte Kreditkartennummer gültig ist.
  • Die Verwendung dieser Verfahren sagt auch nichts darüber aus, wie die empfangenen Informationen weiterverarbeitet werden, ob z.B. Kundenprofile, also „Karteikarten“ von Kunden über deren Surf- und Einkaufsverhalten, deren Vorlieben und deren Zahlungsmöglichkeiten und -moral angelegt oder ob die Informationen vor unbefugten Zugriff gesichert werden.
  • Solange aber die Verbreitung von geeigneten Zahlungsverfahren für den E-Commerce noch gering ist, ist die Verwendung von Transportsicherungsverfahren wie SSL auf jeden Fall besser als die unverschlüsselte Übertragung von Kreditkartennummern.

Identifikation

Unternehmen sollten ihre Kunden Plausibilitätsprüfungen unterziehen: Gibt es den Kunden überhaupt (wäre wenig wahrscheinlich bei einem Kunden „Mickey Maus“)? Stimmt die Adresse (kaum möglich bei einer Adresse „Entenhausen“)?

Sicherheitsmanagement

IT-Sicherheit kann nicht ausschließlich mit technischen Sicherheitsmaßnahmen erreicht werden. Wichtig ist, dass der Sicherheits-Gedanke in die Gesamtheit eines Unternehmens eingebettet ist. Hierzu gehört unter anderem ein fundiertes IT-Sicherheitsmanagement, das für die sinnvolle Umsetzung und Erfolgskontrolle von IT-Sicherheitsmaßnahmen sorgt. In kleineren Betrieben kann hier ein IT-Sicherheitsbeauftragter ausreichen. In großen Unternehmen kümmert sich sinnvollerweise ein IT-Sicherheitsmanagement-Team um die vielfältigen Aufgaben zur Konzeption und Koordinierung der IT-Sicherheit.

Aufbau einer Sicherheitskultur

Um E-Commerce so sicher wie möglich zu betreiben, sollten verschiedene Vorsichtsmaßnehmen getroffen werden: organisatorischer, personeller, infrastruktureller und technischer Art. Um Schwachstellen auszuschließen, das Zusammenspiel aller Maßnahmen zu garantieren und Fehler zu vermeiden, sollte jedes Unternehmen eine eigene IT-Sicherheitskultur schaffen. Deren Elemente sind:

  • Vollständigkeit: Alle denkbaren Sicherheitseinstellungen für IT-Systeme werden eingerichtet und aktiviert;
  • Erreichbarkeit: Zutritt (in Räume), Zugang (zu PCs oder Netzwerken), Zugriff (auf bestimmte Daten) zu den IT-Systemen werden begrenzt;
  • Zuständigkeit: Wer ist wofür verantwortlich?
  • Qualifikation: Das Personal wird für IT-Sicherheitsbelange sensibilisiert und so geschult, dass es in seinen Aufgabenbereichen maximale Sicherheit umsetzen kann;
  • Regelmäßigkeit: Alle wichtigen Daten werden regelmäßig und sorgfältig gesichert (vor Verlust, aber auch vor unbefugtem Zugriff);
  • Standardsicherung: Es wird ein zuverlässiger Schutz vor Viren und Trojanischen Pferden aufgebaut;
  • Verschlüsselung: Alle wichtigen Daten werden verschlüsselt und digital signiert;
  • Isolierung: Jeder Netzanschluss wird gesichert (z.B. durch Firewalls, Intrusion Detection Systeme);
  • Weitsicht: Auch die Telekommunikationssysteme werden in die Sicherheitsbetrachtungen mit einbezogen (z.B. Sicherung von Telefonanlagen gegen Abhören, Sicherung der Datenübertragung per Telefonleitung)
  • Notfallvorsorge: Was tun im Fall von Datenverlust?

Achtung: Häufig ist zu beobachten, dass zwar eine Vielzahl von organisatorischen oder technischen Sicherheitsverfahren vorhanden sind, diese jedoch durch den sorglosen Umgang mit der Technik wieder ausgehebelt werden.

www.sicherheit-im-internet.de

Hinterlassen Sie einen Kommentar

(Kommentare werden von der Redaktion montags bis freitags von 10 bis 18 Uhr freigeschaltet)

Bitte beantworten Sie die Sicherheitsabfrage (Anti-Spam-Schutz): *Captcha loading...